[sage-hamburg] Docker Security am 28.6.

Dirk Wetter dirk.wetter at guug.de
Fr Jun 15 17:02:07 CEST 2018 

Moin,


Eckdaten
========
Lokation:        Uni RZ, Seminarraum 304, Schlüterstraße 70
Zeit:            19 Uhr
Vortragender:    Dirk Wetter
Titel:           Container Security -- Technik gut, Umsetzung leider manchmal nicht so
Das Bier danach: TBD nach dem Vortrag

Abstract
========
Wenn man den initialen Aufwand und die Lernkurve abzieht, haben Container diverse Vorteile für
Entwickler und die Organisation. Es passt besser in Software-Entwicklungsprozesse und
-Development Chains als "die alte Infrastruktur", man kann schnell und reproduzierbar
Deployments erledigen, und, wenn man's richtig macht, läuft der gleiche Container mit
einer kleinen Änderung in Test- und/oder Entwicklung und Produktion, sowie einiges mehr.

So weit, so gut.

Was Sicherheit angeht, ist Docker jedoch eher ein System- und Netzthema. Der Durchschnitts-Dev
ist jedoch kein "Full Spectrum Engineer" und was Infrastruktur-Sicherheit angeht mit einigen
Herausforderungen konfrontiert. So begegnet man ab und wann Installationen, bei denen Dev
größer geschrieben wird, als Ops oder gar Sicherheit. Die Sicherheitsvorteile, die
Docker hat, werden teilweise nicht in Anspruch genommen oder schlimmstenfalls ein schlechter
Default benutzt, was am Ende zu weniger Sicherheit führt als bei VMs oder Blechen.

Auf Basis von Audits einiger Kundenumgebungen und Beratungen wird Dirk darlegen

* was die wichtigsten Top 10 Do's und Dont's sind,
* wie man für höhere Sicherheitsansprüche die Schrauben anziehen kann,
* wie man eine Baseline Security selbst testen kann.

Außer ein paar Anekdoten aus der Welt da draußen, ist der Vortrag eher proaktiv.


Bio
===
Dirk ist in OWASP und GUUG engagiert, benutzt, wenn es irgendwie geht Open-Source -- lange
bevor es Linux oder den Begriff OSS gab.

In seinem Tagesjob führt er Sicherheitsüberprüfungen, vulgo Pentests, durch (Netze, Systeme,
Webapplikationen), gibt Workshops oder Trainings, liefert technische Konzepte und wenn das ihm
zu langweilig ist, betätigt er sich als ISO oder als Projektmanager IT-Sicherheit.

Er ist Initiator des leicht verrückten, aber vollkommen brauchbaren FOSS-Projektes testssl.sh,
was u.a. mit Bash-Sockets die Server-Verschlüsselung durchleuchtet.


Organisatorisches
=================
Wie immer: Alle Treffen sind frei und kostenlos. Falls Vortrag oder Treffen möglicherweise für
Kollegen/Bekannte interessant sein könnte, leitet diese Mail gerne weiter. Auch sie sind
herzlich willkommen.

Mehr zum Treffen in Hamburg, zur öffentlichen Mailing-Liste und mehr unter
https://guug.de/lokal/hamburg/


Wenn jemand einen Vortrag für einer der nächsten Treffen hat, möge er/sie mich gerne
ansprechen/-mailen.


Schönes WoE, Dirk



On 30.05.2018 11:18, Dirk Wetter wrote:
> 
> Moin,
> 
> zum Vormerken (Ankündigung folgt die Tage): Am 28.6. erzähle ich was
> über das obige Thema.
> 
> Cool bleiben, Dirk
> _______________________________________________
> SAGE-Hamburg mailing list
> SAGE-Hamburg at guug.de
> https://lists.guug.de/cgi-bin/mailman/listinfo/sage-hamburg
>

Mehr Informationen über die Mailingliste SAGE-Hamburg